2. 2
Sommaire
• Objectif de l’atelier
• Enjeux de l’identification et de l’authentification en ES
• Données de santé, cadre règlementaire
• Le référentiel d’identification des acteurs de santé
• Le référentiel d’authentification des acteurs de santé
• Usages et besoins d’identification et d’authentification en
établissement
• Comment constituer un annuaire pour les GHT
• Discussion
3. Enjeux de l’identification et de l’authentification en ES
3
Sécuriser les
accès aux
données de
santé
Sécuriser les
accès
physiques
Accéder aux
télé services
nationaux et
régionaux
Gérer les
habilitations
du SI
Vérifier les
qualifications
des
professionnels
Identifier
l’ensemble des
professionnels
Accéder aux
données de
santé en
mobiltié
4. Données de santé à caractère personnel, cadre réglementaire
4
Dématérialisation de données de santé à
caractère personnel
Menaces et risques d’atteintes aux
données de santé
Politique générale de sécurité des
systèmes d’information de santé
PGSSI-S
Renforcer la confiance des acteurs
Politique générale de sécurité des systèmes d’information de santé (PGSSI-S)
http://esante.gouv.fr/pgssi-s/espace-publication
référentiels guides
Concepts
essentiels
Bientôt opposables
Accompagnement
et mise en œuvre
La PGSSI-S est un corpus documentaire
et non une norme ou un référentiel
unique
Pour tous les acteurs publics et privés des
secteurs sanitaire et médico-sociale
Référentiel d’identification des acteurs de santé
Référentiel d’authentification des acteurs de santé
5. Service
de publication
Référentiel d’identification des acteurs de santé
5
public
privé
Portée nationale
Portée locale
RPPS / ADELI
FINESS / SIRET
Ex: matricule RH
dans ES
Référentiel d’identification des acteurs sanitaires et médico-sociaux
Politique générale de sécurité des systèmes d’information de santé (PGSSI-S)- Décembre 2014 - V1.0
http://esante.gouv.fr/sites/default/files/pgssi_referentiel_d_identification_v1.0.pdf
Communiquer une identité
préalablement enregistrée
Diffusion de dispositif d’authentification
Maitrise des accès au SI
Audibilité des systèmes
directe
indirecte
Identifiant public de la
personne morale
Identifiant privée de la
personne physique
Identifiant
Identification
Identifiant de la personne physique
6. Référentiel d’authentification des acteurs de santé
Apporter la preuve de son identité
Référentiel d’authentification des acteurs de santé
Politique générale de sécurité des systèmes d’information de santé (PGSSI-S)- Décembre 2014 – V2.0
http://esante.gouv.fr/sites/default/files/pgssi_referentiel_authentification_v.2.0.pdf
Accorder un accès au système aux personnes autorisées
Différencier les possibilités d’accès aux services et aux données
Pouvoir imputer les actions à leur auteur
public
privé
identifiant national
identifiant public /
privé
limitée à un SI
simple
forte
1 facteur
2 facteurs et plus
savoir
savoir être
avoir
être
directe
indirecte
personne physique
personne physique personne morale
système
d’information
système
d’information
La référentiel
définit trois paliers
d’authentification
La grille d’applicabilité
aide à choisir le palier minimum
en fonction du contexte
7. Référentiel d’authentification des acteurs de santé
Apporter la preuve de son identité
Référentiel d’authentification des acteurs de santé
Politique générale de sécurité des systèmes d’information de santé (PGSSI-S)- Décembre 2014 – V2.0
http://esante.gouv.fr/sites/default/files/pgssi_referentiel_authentification_v.2.0.pdf
Accorder un accès au système aux personnes autorisées
Différencier les possibilités d’accès aux services et aux données
Pouvoir imputer les actions à leur auteur
public
privé
identifiant national
identifiant public /
privé
limitée à un SI
simple
forte
1 facteur
2 facteurs et plus
savoir
savoir être
avoir
être
directe
indirecte
Personne physique
Personne physique Personne morale
Système
d’information
Système
d’information
carte CPS
Palier 3
8. Référentiel d’authentification des acteurs de santé
Apporter la preuve de son identité
Référentiel d’authentification des acteurs de santé
Politique générale de sécurité des systèmes d’information de santé (PGSSI-S)- Décembre 2014 – V2.0
http://esante.gouv.fr/sites/default/files/pgssi_referentiel_authentification_v.2.0.pdf
Accorder un accès au système aux personnes autorisées
Différencier les possibilités d’accès aux services et aux données
Pouvoir imputer les actions à leur auteur
public
privé
identifiant national
identifiant public /
privé
limitée à un SI
simple
forte
1 facteur
2 facteurs et plus
savoir
savoir être
avoir
être
directe
indirecte
Personne physique
Personne physique Personne morale
Système
d’information
Système
d’information
Identifiant / mot de passe
(dans le respect des règles de l’ANSSI)
Palier 1
9. Usages et besoins d’identification et d’authentification en
établissement
9
Usages et besoins d’identification et d’authentification en établissement de santé
Publication fin mai/début juin, avec appel à commentaire
Une stratégie centrée sur l’établissement
Identifiants nationaux (RPPS/ADELI) peu intégrés au
système
L’accès aux télé services s’effectue indépendamment de
l’accès au SIH
Usage limité de l’authentification forte
90 % de l’authentification se base sur un identifiant / mot
de passe
Moins de 10 % d’authentification forte
Des freins connus
Nécessité de mettre en place un projet de gestion des
identités et des accès (IAM): impacts organisationnels et
techniques; besoin d’accompagnement
Peu d’industriels intègrent nativement l’authentification
forte
Perspectives pour le professionnel
Accéder aux données en situation de mobilité
Accéder aux télé services nationaux et régionaux
Mutualiser les dispositifs d’accès physique et logique?
10. Cible: <Identifiant FINESS EJ de l’établissement support>/<identifiant niveau GHT>
Intermédiaire: <Identifiant FINESS de l’établissement>/<identifiant privé, local à l’établissement>
GHT
Comment constituer l’annuaire pour les GHT?
10
Cadre d’urbanisation sectoriel
Modèle d’identification des professionnels du secteur santé
Bientôt disponible sur le site de l’ASIP Santé
Identifiant de portée nationale
Existence d’un
identifiant dans
un référentiel
national?
OUI
NON
RPPS ou ADELI
Identifiant de la structure
Autorité d’Affectation /
Identifiant privée
Référentiel d’identité centralisé
Bonnes pratiques - Maintenir dans le temps le lien entre les identifiants locaux et
l’identifiant de portée nationale
- Homogénéiser les règles de gestion d’identité pour tous les acteurs
- Baser la gestion des habilitations sur des rôles métier
- Assurer la cohérence avec l’identifiant des cartes CPS
- Attribution d’un identifiant principal
- Fédérer l’ensemble des identifiants locaux et l’identifiant de portée
nationale
11. Identification et authentification en ES, perspective GHT
11
Discussion
Comment pensez-vous gérer l’identification des professionnels
au sein de votre GHT?
Comment pensez-vous gérer l’authentification des professionnels
au sein de votre GHT?